CN105743893B - 一次性动态定位认证方法、系统和密码变更方法 - Google Patents

Abstract

本发明公开了一次性动态定位认证方法、系统和密码变更方法，所述方法包括：认证服务器接收来自客户端的认证请求，生成定位因子串，以及，将包含有所述定位因子串和全要素动态因子表结构的生成信息发送给客户端，客户端接收所述生成信息，生成全要素动态因子表，以及，将所述定位因子串映射到该全要素动态因子表中，获取用户按照第一定位规则输入的动态图形密码，并发送给认证服务器，所述认证服务器接收来自客户端的动态图形密码，如果解析出的所述动态图形密码所对应的所述第一定位规则与预设定位规则一致，则认证成功。将图形密码的形象和便于记忆的特性与一次性动态密码的变化性相结合，提升了认证系统整体的便捷性与安全性。

Description

一次性动态定位认证方法、系统和密码变更方法

技术领域

本发明涉及网络安全技术领域，特别是涉及一次性动态定位认证方法、系统和密码变更方法。

背景技术

随着互联网技术的发展，能够提供互联网服务的网站越来越多，为了能够获得这些网站提供的服务，用户就需要通过网络终端登录目标服务网站，进一步通过对目标服务网站的访问，获得目标服务网站提供的服务。为了保证网络访问的安全，目标服务网站就要对网络终端一侧的用户进行身份认证。

一个常见的用户身份认证方法采用用户名加密码的认证方式，所述用户名和密码一经确认就会被固定下来，因此极易被破解。为了加强固定的用户名和密码的安全性，提供服务的目标服务网站就要对用户通过网络终端确定的用户名和密码的设置做出各种的限制，例如英文大小写、数字符号组合等。这样不仅用户体验不佳而且让密码变得复杂且难以记忆。即便如此，通过木马、钓鱼等简单手段，仍然可以轻松获取用户、密码的具体信息。

一个改进的用户身份认证方法采用动态口令、令牌类等认证方式，这是目前比较流行的用户身份认证方式，主要手段有动态口令、手机令牌、USB Key、生物体征认证等。但是这些技术都需要依赖硬件或是第三方插件实现，仍然存在安全隐患。例如，采用手机动态口令的用户身份认证方法，需要利用电信运营商发送手机短信，但是非法的伪基站、木马植入、攻击服务网站平台/发射塔等的攻击手段，导致这种认证方式的安全性难以获得保证。而采用手机等硬件令牌的用户身份认证方法，攻击者利用网络设备的时间误差，用户操作时间等因素，就能够在短时间内获取令牌内容，破解账号窃取用户信息，因此安全性也难以获得保证。

发明内容

本发明实施例中提供了一次性动态定位认证方法、系统和密码变更方法，以解决传统既存密码的缺陷问题。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

一次性动态定位认证方法，所述方法包括：

认证服务器接收来自客户端的认证请求；

根据在定位因子库中选择的定位因子，生成定位因子串，以及，将包含有所述定位因子串和全要素动态因子表结构的生成信息发送给客户端；

所述客户端，接收所述生成信息，根据所述全要素动态因子表的结构生成全要素动态因子表，以及，将所述定位因子串映射到该全要素动态因子表中；

获取用户按照第一定位规则输入的动态图形密码，并将所述动态图形密码发送给所述认证服务器；

所述认证服务器接收来自所述客户端的动态图形密码，如果解析出的所述动态图形密码所对应的所述第一定位规则与预设定位规则一致，则认证成功。

优选的，所述全要素动态因子表的结构包括外表形状结构和内表形状结构，并且，根据所述认证服务器与所述客户端的协商确定所述全要素动态因子表的结构。

优选的，所述协商确定所述全要素动态因子表的结构包括采用统一的全要素动态因子表的结构。

优选的，所述认证请求包括用户ID，通过所述用户ID确定该用户对应的全要素动态因子表的结构。

优选的，所述生成信息还包括内表的变化方式；以及，

所述将定位因子串映射到该全要素动态因子表中包括：

按照所述变化方式将所述定位因子串映射到所述全要素动态因子表中。

优选的，所述内表的变化方式由所述认证服务器按照预设算法确定。

优选的，所述定位因子包括英文字母、单词、汉字、数字、符号、图像或颜色。

优选的，所述第一定位规则包括连续的定位因子组合，非连续的定位因子组合，同一位置的定位因子的重复组合、以及固定字符组合中的一种或者多种任意组合。

优选的，所述生成信息发送给客户端包括：

认证服务器将所述生成信息以字符的形式，或者，图片的形式发送给客户端。

优选的，所述方法还包括：客户端获取当前用户的用户名，并且，客户端将所述动态图形密码作为所述当前的用户名。

一次性动态定位认证方法，所述方法包括：

认证服务器根据在定位因子库中选择的定位因子，生成定位因子串，以及，将包含有所述定位因子串和全要素动态因子表结构的生成信息发送给客户端；所述客户端根据所述全要素动态因子表的结构生成全要素动态因子表，以及，将所述定位因子串映射到该全要素动态因子表中；

所述客户端获取用户按照第一定位规则输入的动态图形密码，并将所述动态图形密码发送给所述认证服务器；

所述认证服务器接收来自所述客户端的动态图形密码，如果解析出的所述动态图形密码所对应的所述第一定位规则与预设定位规则一致，则认证成功。

优选的，所述根据在定位因子库中选择的定位因子包括：

所述认证服务器获取当前用户选择的定位因子以及所述全要素动态因子表中包含的定位因子总数；

根据所述选择的定位因子，以及所述定位因子总数生成定位因子串，其中，所述定位因子串中相同的定位因子至少出现两次。

优选的，所述第一定位规则包括连续的定位因子组合，非连续的定位因子组合，同一位置的定位因子的重复组合、以及固定字符组合中的一种或者多种任意组合。

一次性动态定位认证系统，包括为用户提供认证的认证服务器、为用户提供网络登录访问的客户端，和定位因子库，

所述认证服务器包括：用于接收来自客户端信息的第一接收单元，向客户端发送信息的第一发送单元，以及与所述第一接收单元和所述第一发送单元相连接的定位因子串生成单元、定位规则解析单元和密码判断单元；

其中，所述定位因子串生成单元，用于根据在定位因子库中选择的定位因子，生成定位因子串；所述第一发送单元，用于将包含有所述定位因子串和全要素动态因子表结构的生成信息发送给客户端；定位规则解析单元，用于接收用户按照第一定位规则输入的动态图形密码，并解析出该动态图形密码所对应的第一定位规则；

密码判断单元，用于判断所述第一定位规则与预设定位规则是否一致，以及将判断结果通过所述第一发送单元发送给客户端；

所述客户端包括：用于接收来自认证服务器信息的第二接收单元，向所述认证服务器发送信息的第二发送单元，以及与所述第二接收单元和所述第二发送单元相连接的全要素动态因子表显示单元、动态图形密码生成单元，其中，

所述全要素动态因子表显示单元，用于将所述定位因子串映射到所述全要素动态因子表中；

所述动态图形密码生成单元，用于根据用户按照第一定位规则在所述全要素动态因子表中的输入生成动态图形密码，以及，通过所述第二发送单元将所述动态图形密码发送给认证服务器。

优选的，在所述服务器的第一接收单元和第一发送单元之间，还包括用于与所述客户端协商全要素动态因子表结构的第一协商单元；

以及，在所述客户端的第二接收单元和第二发送单元之间，还包括用于与所述服务器协商全要素动态因子表结构的第二协商单元。

优选的，所述系统还包括：与所述认证服务器相连接的负载均衡器，所述负载均衡器用于判断接收的认证请求载荷是否大于设定的载荷阈值，如果大于，将最后一次接收的认证请求分配到其它认证服务器。

一次性动态密码变更方法，所述方法包括：

认证服务器获取来自客户端的密码变更请求；

根据全要素动态因子表生成两组定位因子串，并将所述两组定位因子串一次性地发送给客户端；

客户端接收所述两组定位因子串，分别将这两组定位因子串映射到全要素动态因子表中，以及分别获取用户在第一组全要素动态因子表中，根据第一定位规则输入的第一动态图形密码，和用户在第二组全要素动态因子表中，根据第二定位规则输入的第二动态图形密码，并且将所述第一动态图形密码和所述第二动态图形密码发送给认证服务器；

认证服务器接收来自客户端的两组动态图形密码，如果解析出的两组动态图形密码所对应的第一定位规则与第二定位规则相同，则将所述第一定位规则或者第二定位规则作为新的动态图形密码，密码变更成功；否则，密码变更失败；

客户端接收所述认证服务器发送的密码变更成功或者失败的结果。

优选的，认证服务器获取变更前的密码，以及第一动态图形密码和第二动态图形密码包括：

认证服务器先获取来自客户端的变更前密码，如果该变更前的密码与预设密码相同，再获取第一动态图形密码和第二动态图形密码；或者，

认证服务器同时获取来自客户端的变更前密码、第一动态图形密码和第二动态图形密码。

由以上技术方案可见，本发明实施例提供的一次性动态定位认证方法、系统和密码变更方法的有益效果包括：

1、用户在认证时根据全要素动态因子表，并且按照定位规则输入动态图形密码，将动态密码与图形密码相结合，形成一种新型密码。该新型密码既有动态密码的变化性，又有图形密码的形象和便于记忆的特性。同时又规避了图形密码形式简单、不会变化以及动态密码需要借助手机、基站、硬件等介质完成认证的缺陷。

2、本方案提供的全要素动态因子表包括外表形状结构和内表形状结构，且该全要素动态因子表的结构可以根据客户的需求变化，此外，多个内表形状结构也可以变化，每个内表中的定位因子也可以变化，所以每次输入动态图形密码时，全要素动态因子表都不相同，进而，不用刻意遮挡，不怕被偷窥。即使该动态图形密码被截获，也无法从截获的动态图形密码破解出定位规则，进而保护了用户的信息。

3、定位因子库中定位因子类型包括英文字母、单词、汉字、数字、符号、图像或颜色等，增强了全要素动态因子表的随机性和防伪性。用户设置的动态图形密码包括连续的定位因子组合，非连续的定位因子组合，同一位置的定位因子的重复，传统的固定字符，以及以上几种形式的任意组合。进一步地增强了动态图形密码的灵活多变性，重合率低，增加了密码的复杂性，使得输入的动态图形密码的可破解难度增大。

4、客户端将用户输入的带有一定定位规则的动态图形密码作为用户密码，比现有的固定字符、图形密码更加容易记忆。并且，解决了传统的固定密码由于限制过多，导致用户体验差的问题，本方案提供的一次性动态定位认证方法中，将密码的设置权项归于客户，使客户可以任意设置定位规则，生成动态图形密码，避免了用户忘记密码，提高了用户的体验效果。

5、客户端和服务器采用SSL安全通信链路传输，传输的数据是加密后的数据，再加上全要素动态因子表和输入的动态图形密码每次也都是变化的，因此，即使输入的动态图形密码被截获，也无法破解用户真正的定位图形。所以动态图形密码能够做到不怕截获、不怕破解，防伪性和安全性较高。

6、用户输入的动态图形密码是依靠软件实现，不依赖任何硬件终端设备，进而降低了密码管理相关的采购和管理费用，大大节约成本，更有效规避了因为外部硬件终端设备的丢失、失效、损坏等原因而导致的系统安全隐患。同时还有效避免了使用硬件终端设备的局限性，就能做到注册的密码不受时间、地点等外在物理条件限制，实现了在PC端或移动终端上的自由全平台无限制密码认证。

7、本方案提供例的一次性动态密码变更方法，当认证服务器判定两种定位规则相同时，密码才变更成功。由于两次输入动态图形密码所对应的全要素动态因子表不同，因此，两组动态图形密码也不相同，所以动态图形密码不会因为被偷窥或者截取而破译出密码，较现有的密码变更方法而言，本公开的密码变更方法密码更安全，防伪性更高。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种一次性动态定位系统的结构示意图；

图2为本发明实施例提供的一种一次性动态定位认证方法的流程图；

图3为本发明实施例提供的一种全要素动态因子表中定位因子为英文字母的示意图；

图4为本发明实施例提供的一种全要素动态因子表中定位因子为数字的示意图；

图4A为本发明实施例提供的一种全要素动态因子表中定位因子为数字和英文字母混合的示意图；

图5为本发明实施例提供的一种全要素动态因子表中内表和外表的示意图；

图6为本发明实施例提供的一种全要素动态因子表中规则外表的示意图；

图7为本发明实施例提供的一种全要素动态因子表中不规则外表的示意图；

图8为本发明实施例提供的一种全要素动态因子表中规则内表的示意图；

图9为本发明实施例提供的一种全要素动态因子表中不规则内表的示意图；

图10A和10B为本发明实施例实施例提供的一种定位规则和该定位规则对应的一次性认证方式的示意图；

图11为本发明实施例提供的一种连续的定位因子组合的定位规则示意图；

图12A、12B和12C为本发明实施例提供的三种非连续的定位因子组合的定位规则示意图；

图13为本发明实施例提供的一种同一位置的定位因子重复组合的定位规则示意图；

图14为本发明实施例提供的一种固定字符组合的定位规则示意图；

图15A和15B为本发明实施例提供的两种散布式定位因子组合的定位规则示意图；

图16为本发明实施例提供的一种多种形式组合的定位规则示意图；

图17为本发明实施例提供的全要素动态因子表内表按照顺时针旋转变换的示意图；

图18为本发明实施例提供的全要素动态因子表内表按照逆时针旋转变换的示意图；

图19为本发明实施例提供的全要素动态因子表内表随机旋转变换的示意图；

图20A和20B分别为全要素动态因子表中原始模式的内表样式和变化后在客户端显示的内表样式；

图21A和21B分别为另一种全要素动态因子表中原始模式的内表样式和变化后在客户端显示的内表样式；

图22为本发明实施例提供的另一种一次性动态定位认证方法的局部流程图；

图23为本发明实施例提供的一种一次性动态定位认证系统的结构框图；

图24为本发明实施例提供的另一种一次性动态定位认证系统结构框图。

图25为本发明实施例提供的针对大数据量访问的一次性动态定位系统的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

如图1所示为本实施例提供的一种一次性动态定位系统的结构示意图。如图1所示，该一次性动态定位认证系统包括：客户端、认证服务器、数据库。其中，认证服务器包括数据库，所述数据库中包括定位因子库，或者该定位因子库存储在属性文件中。所述定位因子库用于存储定位因子，是生成全要素动态因子表的元素集合。其中，所述定位因子库中包括英文字母、单词、汉字、数字、符号、图像或颜色等不同类型的定位因子。服务器可根据客户的注册请求选定一种或者多种类型的定位因子作为选定的定位因子。

服务器中还包括存储器，用于存储用户的ID。服务器与客户端通过网络传输，包括有线或无线传输，具体地，客户端与服务器之间采用SSL(Secure Sockets Layer安全套接层)协议通信链路传输，来确保信息安全通信。并且，也可以不通过互联网，而通过专用线路进行连接。此外，本实施例中所描述的客户端包括终端设备，具体可包括移动终端、笔记本电脑、PC机、掌上电脑等，上述终端仅是举例，而非穷举，包含但不限于上述终端。

下面结合图2对一次性动态定位认证方法进行完整的描述，如图2所示，该认证方法包括：

步骤S201：客户端向认证服务器发送认证请求；其中所述认证请求既可以包含用户信息，也可以不含用户信息。如果认证请求中包含用户信息，则所述用户信息具体为用户名、账号、登录ID等用户在系统中的唯一标识的代称。

步骤S101：认证服务器接收客户端发送的认证请求；认证服务器通过网络，以及SSL协议与客户端进行通信，接收来自客户端的服务请求。

步骤S102：认证服务器根据定位因子库中选择定位因子，并生成定位因子串。其中，认证服务器可以采用特殊的加密算法生成一组定位因子串。

该定位因子串作为全要素动态因子表中的定位因子，其中，所述全要素动态因子表是由选定的定位因子及定位因子所构成的提示用的显示模式。全要素动态因子表中的定位因子是不固定的，可自由变换，也是从定位因子库中选定的定位因子。如图3所示，为一种全要素动态因子表的示意图，该表中的选定的定位因子均为英文字母。如图4所示，为另一种全要素动态因子表的示意图，该表中选定的定位因子均为阿拉伯数字。其中，所述定位因子还包括英文字母、单词、汉字、数字、符号中的一种或者多种的组合，例如图4A所示，该全要素动态因子表中包括英文字母和数字组合，能够进一步增加全要素动态因子表的复杂性和变化性，使得破解难度更大。。

此外，如图5所示，全要素动态因子表的结构包括外表形状结构和内表形状结构，并且，根据所述认证服务器与所述客户端的协商确定所述全要素动态因子表的结构，以及全要素动态因子表的难度系数，例如附图3至图5所示，客户选择的定位因子是6*6的定位因子显示模式，以6位密码为例，纯定位因子的定位图形组合数为36的6次方，如果选择使用10位的密码，那其可破译率则为365兆6158亿分之一，即36¹⁰；若与固定字符混合使用，则破译率会更低。此外，还可以选择9*9的定位因子显示模式，随着定位因子数量的增多，密码的复杂程度越强，安全性能越高。

在一优选的可实施的方案中，客户端与认证服务器可以通过协商确定全要素动态因子表。具体为，认证服务器可采用系统级或者用户级的方式生成全要素动态因子表，其中，所述系统级是指，认证服务器接收认证请求后，选取预设的一种全要素动态因子表的结构，以及生成全要素动态因子表的其它参数信息，并生成定位因子串。

所述用户级是指，认证服务器接收来自客户端的用户级设定指示，并根据该用户级设定指示将包含有生成全要素动态因子表的提示项目信息发送给客户端，客户端填写完成所述提示项目信息后，将这些项目信息发送给认证服务器，认证服务器接收这些项目信息，并根据这些项目信息生成定位因子串。具体地，在用户级的设定过程中，所述项目信息包括：全要素动态因子表的外表结构和内表结构，内表的数量，以及内表中的定位因子。例如，认证服务器在接收到客户端的认证请求后，向客户端发送设置项目清单，其中，该设置项目清单中包括：选择外表结构是否为规则形状，内表结构是否为规则形状，内表的数量，内表中定位因子的类型/种类等。用户在客户端填写好偏好清单之后，向认证服务器发送填写完成的信号指令，认证服务器接收该信号指令后选择生成全要素动态因子表结构的参数信息，并确定定位因子串。

在本实施例中，为保证密码的可靠性，用户需要输入动态图形密码，所以认证服务器对应地生成定位因子串。其中，可以根据特殊算法包括公式、随机排列组合或者设定的统一算法。

具体地，例如用户通过客户端与服务器协商选定的定位因子为纯数字类型，全要素动态因子表的外表结构和内表结构均为规则结构，其中，包含所述外表四个3*3的内表，每个内表包含9个定位因子，服务器根据该外表结构和内表结构，以及外表结构参数和内表结构参数，在定位因子库中选定的定位因子为阿拉伯数字0至9，10个阿拉伯数字，以6*6为例，定位因子选择的是阿拉伯数字，服务器生成的每组定位因子串为36个数字，客户端接收到来自服务器的36个数字组成的定位因子串后，根据全要素动态因子表的结构，将该定位因子串的数字映射到全要素动态因子表中。

在步骤S102中，全要素动态因子表的结构包括外表形状结构和内表形状结构，如图5所示，其中，所述外表由至少一个内表组成，每个内表包含多个定位因子。所述外表既是全要素动态因子表的外部物理形状，也是由各个内表组成的具有表的外形的概念表，并且，该外表的形状不固定，可以是规则形状，如图6所示，也可以是非规则形状，如图7所示。所述内表：既是全要素动态因子表中独立划分的分表，该内表的组成模式多样，可以是规则形状的组合，也可以是不规则形状的组合，如图8和图9所示分表为内表的规则和不规则形状的组成模式。具体外表和内表的形状可通过服务器与客户端协商确定，或者服务器根据预设程序自动生成定位因子串。所述定位因子串为全要素动态因子表内容转化成的数据字符串。

用户偏好设置不同的全要素动态因子表，进而增强全要素动态因子表的随机性和独特性，由于不同的客户的偏好不同，因此，根据客户的偏好服务器选择的定位因子也不同，进而生成的全要素动态因子表也不同。其中，该生成信息包括以字符的形式，或者，以图片的形式发送给客户端。

如图2所示，该方法的步骤S103：将包含有定位因子串和全要素动态因子表结构的生成信息发送给客户端。

步骤S202：客户端接收服务器发送的生成信息。

步骤S203：根据来自认证服务器的定位因子串生成全要素动态因子表。由于客户端在用户认证时，需要根据全要素动态因子表输入动态图形密码来确认作为密码的定位图形，因此，客户端需先向认证服务器发送动态图形密码请求，即认证请求，用于通知认证服务器生成定位因子串，客户端根据认证服务器返回的生成信息才能生成全要素动态因子表。

客户端根据全要素动态因子表的外表结构、内表结构、以及由在定位因子库中选定的定位因子生成的定位因子串而生成全要素动态因子表，如图10所示，将步骤S102中生成的定位因子串映射到全要素动态因子表中，并且，每个定位因子在该全要素动态因子表中至少出现两次，以降低破译率，增强全要素动态因子表中定位因子的随机性和防伪性。

客户端显示全要素动态因子表时不需要额外加载或者安装任何的插件。比如ActiveX等。平台间的兼容性比较好，不存在全要素动态因子表显示不出来的情况，进一步提高了用户使用的舒适感。

映射后的全要素动态因子表中的元素清晰可辨，相比目前流行的验证码模式辨识度更高，密码输入更加便捷。

步骤S204：用户通过所述全要素动态因子表输入动态图形密码。具体地，用户根据已经设定的定位规则，例如第一定位规则，将该第一定位规则所对应的点位所对应的定位因子(或元素)作为动态图形密码。其中，所述动态图形密码是由所述全要素动态因子表中的定位因子按照所述第一定位规则组成的。

如图10A和10B所示分别为，为用户输入的第一定位规则，以及按照第一定位规则输入的动态图形密码所对应的动态元素(或定位因子)，本实施例中，定义该认证方式为单要素模式，所谓单要素模式是指全要素动态因子表中的定位因子每次显示都发生变化。

步骤S205：用户输入完成之后，客户端将该用户输入的动态图形密码发送给认证服务器。

步骤S104：认证服务器接收所述客户端发送的动态图形密码。

步骤S105：认证服务器对该动态图形密码进行解析，解析后生成所述第一定位规则，并且将该第一定位规则与预设的定位规则进行比较，并执行步骤S106。

步骤S106：如果解析出的所述动态图形密码所对应的所述第一定位规则与预设定位规则一致，则认证成功。其中，预设定位规则为用户首次登陆时注册的动态图形密码所对应的定位规则。并将用户第一次注册时设定的预设定位规则存储在定位规则数据库或者其它属性文件中。

在步骤S105中，判断所述第一定位规则与预设定位规则是否相同或者一致是指：所述第一定位规则与所述预设定位规则在全要素动态因子表中的动作轨迹是否相同，在每个全要素动态因子表中，每个定位因子的对应一个坐标位置，服务器通过识别定位规则对应的坐标位置，就能获取用户输入的动态图形密码的动作轨迹，进而判断两组动作轨迹分别对应的第一定位规则和预设定位规则是否相同。如果判断用户输入的第一定位规则与预设定位规则的动作轨迹相同，则认证成功。否则执行步骤S107。

步骤S107：如果判断来自客户端的动态图形密码所对应的第一定位规则与预设定位规则不一致或者不相同，则认证失败。执行步骤S108。

步骤S108：认证服务器接收判断后的认证结果，并将该认证结果发送给所述客户端。其中，所述认证结果包括认证成功和认证失败两种。

步骤S206：客户端接收认证服务器发送的认证结果，如果认证成功，则跳转对象系统，执行用户操作；如果接收的认证结果为失败，则客户端提示用户认证失败，请重新认证的反馈消息。

本实施例提供的一次性动态定位认证方法具有以下的益效果：

第一、用户在认证时根据全要素动态因子表，并且按照定位规则输入动态图形密码，将动态密码与图形密码相结合，形成一种新型密码。该新型密码既有动态密码的变化性，又有图形密码的形象和便于记忆的特性。同时又规避了图形密码形式简单、不会变化以及动态密码需要借助手机、基站、硬件等介质完成认证的缺陷。

第二、客户端将用户输入的带有一定定位规则的动态图形密码作为用户密码，比现有的固定字符、图形密码更加容易记忆。并且，解决了传统的固定密码由于限制过多，导致用户体验差的问题，本方案提供的一次性动态定位认证方法中，将密码的设置权项归于客户，使客户可以任意设置定位规则，生成动态图形密码，避免了用户死记硬背固定密码，提高了用户的体验效果。

第三、客户端和服务器采用SSL安全通信链路传输，传输的数据是加密后的数据，再加上全要素动态因子表和输入的动态图形密码每次也都是变化的，例如，OTP(One TimePassword,一次性密码)模式，因此，即使输入的动态图形密码被截获，也无法破解用户真正的定位图形。所以动态图形密码能够做到不怕偷窥、不怕截获、难以破解，进而提升身份认证的安全性。

第四、用户输入的动态图形密码是依靠软件实现，不依赖任何硬件终端设备，进而降低了密码管理相关的采购和管理费用，大大节约成本，更有效规避了因为外部硬件终端设备的丢失、失效、损坏等原因而导致的系统安全隐患。同时还有效避免了使用硬件终端设备的局限性，就能做到注册的密码不受时间、地点等外在物理条件限制，实现了在PC端或移动终端上的自由全平台无限制密码认证。

在上述实施例的一个优选方案中，为进一步增强全要素动态因子表的随机性和防伪性，本方案还公开了另一种一次性动态定位认证方法，在该方法包括前述方法的实施例的所有步骤，但区别在于，在步骤S204中，用户输入的动态图形密码所对应的第一定位规则包括连续的定位因子组合，非连续的定位因子组合，同一位置的定位因子的重复组合、以及固定字符组合中的一种或者多种任意组合。如图11所示，为连续的定位因子组合(连续式)定位规则，每个定位因子都是连续的；图12A至12C所示为非连续的定位因子组合(非连续式)定位规则，即动态图形密码中的定位因子不连续，中间有间断；图13为同一位置的定位因子重复组合(单点式)定位规则，即单个定位因子的重复组合，图14为固定字符组合的定位规则，如13中的动态图形密码包括用户预设的固定字符“China_NO.1”。此外，所述定位规则还包括散布式定位因子组合，如图15A和15B所示；所述动态图形密码还可以是由上述一种或多种定位规则的组合，例如图16所示，为连续式、非连续式和固定字符的组合，组合后的动态图形密码为“168 China 431 NO.1”。

其中，所述定位因子包括英文字母、单词、汉字、数字、符号、图像或颜色等。此外，全要素动态因子表中的每一个定位因子可以是一个字符，也可以是多个字符。每个因子可以是0至9的一位字符，也可以是10至99的两位字符，还可以是AIU至EGF的三位字符。字符的位数越多，密码越复杂，破解难度也就越大。

本实施例提供的一种一次性动态定位认证方法中，定位因子库中定位因子类型包括英文字母、单词、汉字、数字、符号、图像或颜色等，增强了全要素动态因子表的随机性和防伪性。用户设置的动态图形密码包括连续的定位因子组合，非连续的定位因子组合，同一位置的定位因子的重复，传统的固定字符，以及以上几种形式的任意组合。进一步地增强了动态图形密码的灵活多变性，重合率低，增加了密码的复杂性，使得输入的动态图形密码的可破解难度增大。

此外，为进一步增加动态图形密码的复杂性和防伪性，用户通过全要素动态因子表输入的定位规则，或者所述第一定位规则是指用户基于全要素动态因子表进行密码设定时的动作行为机制。根据行动机制解析出来的规则包含以下几种模式：

a)单点式：为同一个位置的点位或是一个点位的重复选择(如图13)。

b)散布式：全要素动态因子表中，所有定位用点位呈散布式(如图15A和15B)。

c)连续式：定位因子的点位都是连续的(如图11)。

d)非连续式：定位用点位大部分为连续，其中包含非连续的点位(如图12A、12B和12C)。

e)固定字符(如字符、数字、符号等)：全要素动态因子表中不选择点位，直接输入传统的固定字符(如图14)。

f)以上几种模式的任意组合：可以将上述规则任意组合使用(如图16)。

本实施例提供的全要素动态因子表包括外表形状结构和内表形状结构，且该全要素动态因子表的结构可以根据客户的需求变化，此外，多个内表形状结构也可以变化，每个内表中的定位因子也可以变化，所以每次输入动态图形密码时，全要素动态因子表都不相同，进而，不用刻意遮挡，不怕被偷窥。即使该动态图形密码被截获，也无法从截获的动态图形密码破解出定位规则，进而用户信息也就不能被获取。

在上述实施例的一个优选技术方案中，为了进一步增强动态图形密码的防伪性，所述方法还包括：客户端和服务器协商内表的标识规则，或者协商所述内表在外表中的变化分布规则。其中，所述内表变化分布规则包括顺时针变化规则、逆时针变化规则或者随机变化规则。本实施例中定义另一种一次性认证方式为全要素模式的认证方式，所述全要素模式相比于单要素模式认证，其特点在于，不仅全要素动态因子表中的定位因子每次显示都发生变化，内表的顺序也会发生变化。即包括顺时针变化、逆时针变化和随机变化。

并且，将这些内表的变化方式包含在生成信息中，则在步骤S203中，具体地，包括按照这些变化方式将所述定位因子串映射到所述全要素动态因子表中。

如图17至图19所示，如图17所示为预设的全要素动态因子表中的内表按照顺时针变化的示意图；图18为全要素动态因子表中的四个内表按照逆时针变化的示意图；图19为全要素动态因子表中的内表随机变化的示意图。并且，所述内表的变化方式由所述认证服务器按照预设算法确定。

其中，所述内表的旋转变化方式，将在系统中预先设定或是用户在设定动态图形密码时自行设定。认证时，默认的内表是不发生变化的，但是如果发生变化时，将用以下方式提示给用户。

背景色提示。每一个内表都会分配一个背景色，用背景色来区分每一个内表。原始顺序的内表的颜色将在客户端通过文字、英文单词或颜色块提示给用户。

背景标识提示。每一个内表的背景都会有一个数字的半透明标识(如数字、英文字母、汉字等)。在认证时，客户端内表的顺序发生了变化，用户根据内表背景中的标识来识别内表的顺序。如图20A为原始模式的内表样式，20B所示为随机变化后在客户端显示的内表样式。

变化/旋转的提示方式将预设在系统中。以上方式仅为示例的方式，实际应用中还包括其它种变换方式。

在认证时，认证服务器将所在内表的定位规则与数据库中预存的定位规则是否相同，作为认证标准。

举例加以说明另一种认证方式(全要素模式)的认证方法。如图21A和21B所示，用户在密码初次设定时，设定的密码定位规则是图21A的图形，该定位规则分布涉及内表1的三个点位和内表4的三个点位。在认证时，四个内表的顺序发生了逆时针变化，用户输入的动态图形密码要保证每个内表中的点位规则是正确的，方能通过认证。如图21B所示，客户端通过颜色块方式提示用户原始的颜色分布情况，内表1被逆时针变化到了全要素动态因子表的左下角位置，此时要输入的密码是密码设定时内表1的定位规则，同理内表4被逆时针变化到了右上角位置，输入密码是密码设定时内表4的定位规则。

本实施例提供的这种全要素模式认证方法，是对全要素动态因子表中内表的一种进一步变形，每次用户输入的动态图形密码，不仅图形对应的元素不同，而且图形也不相同，认证服务器获取的动态图形密码所解析的定位规则只要与预设的定位规则不同，就不能认证成功，进一步提高了动态图形密码的安全性，增大了密码的破解难度。

在另一个优选的实施例中，所述认证请求包括用户ID，认证服务器可通过该用户ID确定其对应的全要素动态因子表的结构，例如，用户的ID中包含定位因子的类型，以及用户的偏好等信息，认证服务器根据这些信息确定该用户对应的全要素动态因子表的结构。

此外，认证服务器在接收客户端发送的认证请求之后，采用统一的全要素动态因子表的结构，定义这种从认证服务器直接调取统一的全要素动态因子表结构的方式为系统级设定方式。即所有用户都采用同一种全要素动态因子表样式，当采用此模式认证时，认证请求中无需包含其它信息，只传达给认证服务器一个认证请求即可，能够节省认证时间，提供认证效率，实现了身份认证的安全性与便捷性的有效统一。

在另一个优选的实施例中，在步骤S104后，所述方法还包括：

步骤S1041：获取用户信息；其中所述用户名信息包括用户ID，用户名，账号，以及用户的其它个人信息，例如个人头像等。此外，认证服务器可从客户端获取或者直接从数据库中调取当前用户的用户信息。

步骤S1042：判断该用户的信息是否合格，具体为：判断该用户的ID或者用户名是否存在，如果存在，则验证合格，执行步骤S105,；如果不存在，则说明用户信息不合格，数据库中不存在该用户的用户信息，直接跳转到步骤S107，认证失败。

其中，在一优选的实施方式中，步骤S104还包括：认证服务器可以同时获取用户信息和动态图形密码，以节省认证时间，提高认证效率。

其中，上述步骤S1042与步骤S105的顺序可以互换，即先判断用户的定位规则与预设定位规则是否相同，再判断用户信息是否合格，具体判断过程与前述实施例相同，此处不再赘述。

在一优选的实施例中，所述方法还包括认证服务器获取用户的用户名信息，其中，所述用户名信息与所述用户输入的动态图形密码相同。认证服务器可从客户端获取用户的用户名信息，或者从数据库中获取。

用户名信息包括是用户名、账号、用户ID、登录ID等用户在系统中的唯一标识的代称。用户将定位图形作为用户名，而密码还是使用传统密码。这样做既能使用户保留原有的使用习惯，即还是使用传统密码；又能增强用户信息的安全性，因为虽然密码使用的还是传统密码，容易被破解，但是用户名使用的是定位图形，具有很高的安全性，很难被猜测、破解，且容易被记忆，不怕偷窥。由于用户名采用定位图形的形式，很难破解，所以即使密码泄漏，也无法进入到互联网应用中，用户的信息不能被窃取，安全性更高。

本发明还公开另一种一次性动态定位认证方法，包括客户端和服务器，其中，该方法包括：

客户端，用于根据在定位因子库中选择的定位因子，生成定位因子串，并根据所述全要素动态因子表的结构生成全要素动态因子表，以及，将所述定位因子串映射到该全要素动态因子表中。其中，所述定位因子库可存储客户端的数据库或者属性文件中。其中，所述客户端还包括定位因子库，所述定位因子库用于存储定位因子；还包括存储器，所述存储器用于存储全要素动态因子表，以及用于生成全要素动态因子表结构等参数信息。

所述客户端还用于获取用户按照第一定位规则输入的动态图形密码，并将所述动态图形密码发送给所述认证服务器，其中，所述动态图形密码是由所述全要素动态因子表中的定位因子按照所述第一定位规则组成。

所述认证服务器用于接收来自所述客户端的动态图形密码，解析该动态图形密码，如果解析出的所述动态图形密码所对应的所述第一定位规则与预设定位规则一致，则认证成功；否则，认证失败，以及将所述认证成功或者失败的结果发送给客户端。

在本实施例中，所述在定位因子库中选择的定位因子具体包括：

获取当前用户选择的定位因子以及所述全要素动态因子表中包含的定位因子总数；

根据所述选择的定位因子，以及根据全要素动态因子表来确定定位因子的总数；

将所述全要素动态因子表内的定位因子随机排列组合生成定位因子串，其中，所述定位因子串中相同的定位因子至少出现两次。使得定位因子串具有随机性和特异性，增加了定位因子串的复杂程度，进一步增强动态图形密码的防伪性，提高了该密码的安全性。

此外，上述实施例仅为从定位因子库中选择定位因子的一种可实现方式，还包括其它中可实现的方式，例如通过特殊的加密算法确定定位因子，用户自由选择定位因子，以及系统随机选取定位因子等。

此外，为进一步提高动态图形密码的复杂度和防伪性，用户输入的动态图形密码所解析出的第一定位规则包括连续的定位因子组合，非连续的定位因子组合，同一位置的定位因子的重复组合、以及固定字符组合中的一种或者多种任意组合。

在本认证方法的实施例中，所述定位因子串，全要素动态因子表以及动态图形密码的类型，变换方式，特征均与前述的实施例相同，其区别在该方法中的客户端自身具有选择定位因子，生成定位因子串，以及将定位因子串映射到定位因子表的功能，节省了用户向认证服务器发送认证请求的步骤，进而节约了认证时间，提高认证效率，实现了身份认证的安全性与便捷性的有效统一。

对应于前述方法的实施例，本技术方案还公开了一种一次性动态定位认证系统，包括至少一个为用户提供认证服务的认证服务器100、至少一个为用户提供网络登录访问的客户端200，和数据库300，如图23所示。

所述认证服务器100包括：用于接收来自客户端信息的第一接收单元101，向客户端发送信息的第一发送单元103，以及与所述第一接收单元和所述第一发送单元相连接的定位因子串生成单元102、定位规则解析单元104和密码判断单元105；

其中，所述定位因子串生成单元102，用于根据在定位因子库106中选择的定位因子，生成定位因子串；所述第一发送单元103，用于将包含有所述定位因子串和全要素动态因子表结构的生成信息发送给客户端200；定位规则解析单元，用于接收用户按照第一定位规则输入的动态图形密码，并解析出该动态图形密码所对应的第一定位规则；

密码判断单元105，用于判断所述第一定位规则与预设定位规则是否一致，以及将判断结果通过所述第一发送单元发送给客户端；

所述客户端200包括：用于接收来自认证服务器信息的第二接收单元202，向所述认证服务器发送信息的第二发送单元201，以及与所述第二接收单元202和所述第二发送单元201相连接的全要素动态因子表显示单元203、动态图形密码生成单元204。

所述全要素动态因子表显示单元205，用于将所述定位因子串映射到所述全要素动态因子表中；所述动态图形密码生成单元204，用于根据用户按照第一定位规则在所述全要素动态因子表中的输入生成动态图形密码，以及，通过所述第二发送单元201将所述动态图形密码发送给认证服务器100。

其中，所述数据库300可以集成于在认证服务器100中，且数据库中也包括所述定位因子库106，所述定位因子库中包含生成全要素动态因子表的元素集合(定位因子)，其中，所述定位因子包括英文字母、单词、汉字、数字、符号等不同类型。从定位因子库中选择一种或者多种定位因子作为生成定位因子串的定位因子。

此外，本系统的实施例中所述定位因子串，定位因子库，全要素动态因子表，定位规则也均与前述方法的实施例相同，此处不再赘述。

需要说明的是，本实施例中的客户端和认证服务器服务器可以集成于同一个设备或者装置中，也可以是两个不同的设备或者装置。

如果将客户端和服务器的功能集成在同一设备或装置中，例如，PC或移动终端的单机，则又形成一套不依赖网络通信，设备或装置等终端自身也可以独立完成认证的离线模式或机制。则该系统中的终端包括：认证服务器单元，客户端单元，以及数据库单元。并且，所述认证服务器单元，客户端单元，以及数据库单元分别与所述认证服务器100，客户端200，和数据库300的功能相同。

在本实施例中，进一步地，如图24所示，在所述服务器的第一接收单元101和第一发送单元102之间，还包括用于与所述客户端协商全要素动态因子表结构的第一协商单元107；以及，在所述客户端的第二接收单元202和第二发送单元201之间，还包括用于与所述服务器协商全要素动态因子表结构的第二协商单元206。

所述第一协商单元107用于与所述第二协商单元206协商全要素动态因子表的外表结构、内表结构、内表难度系数、定位因子的类型、定位因子串的组成模式等。所述第二协商单元206用于与所述第一协商单元107相配合，实现客户端在注册用户时个性化和多样化的特性，进而增强认证用户动态图形密码的唯一性，提高了个体的识别度，进一步地增强防伪功能。

此外，本系统中，所述认证服务器还包括用户名信息获取单元，用户名信息判断单元，用户名信息判断结果生成单元，和存储单元。其中，所述用户名信息包括用户ID，用户名，账号，以及用户的其它个人信息，例如个人头像等。用户名信息获取单元用于获取所述用户名信息，该用户名信息可从数据库中调取或者从当前的客户端中获取。所述用户名信息判断单元用于判断用户名信息是否合格，即获取的用户名是否存在，如果存在，则该用户名信息合格；否则该用户名信息不合格。所述用户名信息判断结果生成单元，用于根据用户名信息判断单元生成判断结果，即该用户名信息合格或者不合格。并通过所述第一发送单元将判断结果发送给对应的客户端。

其中，所述密码判断单元与所述用户名信息判断单元判断的顺序不做限制。

本方案将高安全强度的“一次性认证密码(OTP，One Time Password)”与便于记忆的“图形密码”的理念相结合，通过将定位因子映射到随机生成的阵列表中，再将阵列表中的定位信息作为密码的认证模式。该认证方式，实现了在不依赖于其他任何外部加密设备的情况下，将极高的安全性与极强的可记忆性实现完美统一。

本方案提供的一次性动态认证系统，该系统中生成的动态图形密码不再将传统的复杂数字、字母或符号作为认证密码，而是以映射在全要素动态因子表中的“定位因子”的相应位置和顺序所构成的“定位图形”，作为密码设定的方式。在提升了传统密码操作的便捷性和趣味性的同时，极大的增加了用户身份认证的安全强度和防伪性。

此外，该系统一次性的克服了传统密码既不便于记忆，而又“易外泄”、“易推测”、“易截获”、“易破解”的缺陷，同时，又从根本上摆脱了长期以来认证加密，需要依靠像Token类等外部加密设备的现状。并在充分考虑了大数据并发应用的客观需求基础上，在真正意义上实现了认证技术的“跨平台全媒体”互联互通。

该系统还包括与所述认证服务器相连接的负载均衡器，所述负载均衡器用于判断接收的认证请求载荷是否大于设定的载荷阈值，如果大于，将最后一次接收的认证请求分配到其它认证服务器。

当有大数据量同时访问对象系统时，由于系统认证的压力过大，造成网络拥堵等各种大数据量并发等问题。对象系统的真实功能还未发挥时，有的认证服务器甚至已经瘫痪。而本系统则可以担当对象系统的认证的角色，减轻对象系统的认证压力。面对大数据量并发的场合，动态图形认证系统可以根据用户的需求，任意的增减认证服务器和数据库。如图25所示，为针对大数据量访问的对象系统的网络构成实施例概念图。

在一具体的实施例中，客户端04向对象系统发出认证请求，通过对象系统，将请求发送给负载均衡服务器05。负载均衡服务器05将认证请求均衡分配到认证服务器01中，认证服务器01生成动态因子串，并将动态因子串通过对象系统03发送给客户端04。客户端04接收到动态因子串后，将动态因子串映射到全要素动态因子表中。用户根据已定义的定位规则输入动态图形密码。客户端04将动态图形密码发送给对象系统03，对象系统03通过负载均衡服务器05将动态图形密码分配到认证服务器01。认证服务器01通过解析密码，分析出定位规则。从数据库02中取得当前用户的定位规则，进行比较，如果相同，则认证成功；如果不相同则认证失败。

此外，本实施例提供的一种动态图形认证系统还可以架设在任何的BS、CS类型的系统中，担任认证的角色；并且可与现有的任何一种认证系统以及认证方法并存使用，也可以替代既有系统的认证方式。其兼容性比较好，用户在架设系统时可以方便的作业。

系统间信息的传输方式采用数表分离的传输方式。认证服务器端生成定位因子串，客户端映射全要素动态因子表。整个系统间的通信传输都采用的是SSL的加密通信，同时DB中数据都是加密保存，加强了系统的安全性。

本方案还提供一种一次性动态密码变更方法，其中，所述方法包括：

步骤10：认证服务器获取来自客户端的密码变更请求，以及变更前的密码。

步骤20：认证服务器根据全要素动态因子表生成两组定位因子串，并将所述两组定位因子串一次性地发送给客户端。

步骤30：客户端接收所述两组定位因子串，分别将这两组定位因子串映射到全要素动态因子表中，以及分别获取用户在第一组全要素动态因子表中，根据第一定位规则输入的第一动态图形密码，和用户在第二组全要素动态因子表中，根据第二定位规则输入的第二动态图形密码，并且将所述第一动态图形密码和所述第二动态图形密码作为密码变更信息发送给认证服务器。

步骤40：认证服务器接收来自客户端的两组动态图形密码，对接收的两组动态图形密码进行解析，并且判断是否进行密码变更操作，如果解析出的两组动态图形密码所对应的定位规则相同，则密码变更成功，并将新的定位规则作为密码登录到数据库中；如果两组动态图形密码的定位规则不相同，则不进行新密码登录操作，密码变更失败；以及，将密码变更成功或者失败的结果发送给客户端。

步骤50：客户端接收所述认证服务器发送的密码变更成功或者失败的结果。

其中，本实施例中的定位因子串，定位因子库，全要素动态因子表，定位规则也均与前述一次性动态定位认证方法的实施例中的定位因子串，定位因子库，全要素动态因子表，定位规则相同，并且，全要素动态因子表的结构，内表的变化情况，定位规则的类型也均与前述相同，此处不再赘述。

与前述一种一次性动态认证方法的实施例的区别在，步骤30中，客户端需要输出两组动态图形密码，对应地，客户端生成两组定位因子串，并将该两组定位因子串发送给客户端，每组定位因子串映射的全要素动态因子表都不相同，当认证服务器判定两种定位规则相同时，密码才变更成功。由于两次输入动态图形密码所对应的全要素动态因子表不同，因此，两组动态图形密码也不相同，所以动态图形密码不会因为被偷窥或者截取而破译出密码，较现有的密码变更方法而言，本实施例提供的密码变更方法让密码更安全，更可靠，被窃取、被截获的风险大大降低。

在另一优选的实施方式中，步骤10中认证服务器获取变更前的密码，以及第一动态图形密码和第二动态图形密码包括：

步骤11：认证服务器先获取来自客户端的变更前密码，如果该变更前的密码与预设密码相同，再获取第一动态图形密码和第二动态图形密码；否则，密码变更失败；或者执行步骤12。

步骤12：认证服务器同时获取来自客户端的变更前密码、第一动态图形密码和第二动态图形密码。并解析出这三组密码的定位规则，认证服务器先通过用户名信息或者用户ID和当前的动态图形密码，验证当前密码是否正确。如果正确，再解析两组新的动态图形密码，如果定位规则相同，则将行的定位规则登录到数据库中。完成密码变更。

本实施例中认证服务器分步获取变更前的密码，第一动态图形密码和第二动态图形密码，或者，一起获取变更前的密码，第一动态图形密码和第二动态图形密码可根据实际密码变更系统的负载量来确定，当系统的负载量大时，认证服务器可分步获取密码，以减小单位时间的运算强度，减轻系统负担；如果系统负载量小时，认证服务器可同时获取密码，并完成相应的解析和变更判断步骤，以节省用户时间，提高密码变更效率。

此外，在步骤30中，所述动态图形密码作为用户名，即用户名与动态图形密码相同。其中，所述用户名包括用户输入名、用户账号、用户ID、登录ID等用户在系统中的唯一标识的代称。用户将动态图形作为用户名，而密码还是使用传统密码。这样做既能使用户保留原有的使用习惯，即还是使用传统密码；又能增强用户信息的安全性，虽然密码使用的还是传统密码，但是用户名使用的是动态图形，具有很高的安全性，很难被猜测、破解，且容易被记忆，不怕偷窥，即使密码泄漏，也无法以该用户身份进入到互联网应用中，用户的信息不会丢失，身份认证的安全性得到有效保障。

综合上述实施例，本发明提供的一次性动态定位认证方法、系统和密码变更方法还具有以下有益效果：

第一、动态图形密码无需借助硬件和插件：

由于用户是通过客户端显示的全要素动态因子表输入动态图形密码，因此，密码的生成无需借助硬件(如手机、基站、硬件等)，进而认证或者密码变更的过程更加的安全。避免攻击者利用硬件传输的时间差进行攻击，而且避免了手机等硬件设备业务异常、信号微弱、硬件遗失、硬件到指定网点登记等限制。

不借助第三方插件，避免攻击者有机会将破解工具等植入第三方插件中，对密码造成威胁。此外，用户在使用过程也无需安装插件再刷新，不仅方便而且更安全。

第二、支持大数据并发：

本方案中涉及的认证服务器和数据库可以根据需求任意增加和减少，与负载均衡服务器配合使用，可以解决访问当大时的减少对象服务器认认证模块的压力。

第三、广泛的适用性和具有跨平台全媒体支持：

该系统接入方式灵活。即可以一次性的“替换”用户现行的认证系统，也与客户现行认证系统并行，以追加认证的方式接入用户的认证系统。

该认证方式以及服务器可嫁接到任何终端上使用，一次性突破了PC、平板电脑、智能手机等各种终端的应用限制，真正实现了“跨平台·全媒体”的认证互联互通。

第四、经济环保：

本系统由于不依赖于任何的硬件，并且用户数量可以根据实际需求增减。所以节省了硬件的采购、维护、过期等成本。系统用户数可以随着用户量的增减而相应地变化。

此外，由于本发明提供的认证系统不依赖于硬件，则节省了硬件制造所产生的原材料消耗和二氧化碳。避免了当用户不足时导致硬件过剩的问题。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一次性动态定位认证方法，其特征在于，所述方法包括：

认证服务器接收来自客户端的认证请求；

所述认证服务器根据在定位因子库中选择的定位因子，生成定位因子串，并与客户端协商确定全要素动态因子表的结构，以及，将包含有所述定位因子串和所述全要素动态因子表结构的生成信息发送给客户端，所述全要素动态因子表的结构包括外表形状结构和内表形状结构；

所述客户端接收所述生成信息，根据所述全要素动态因子表的结构生成全要素动态因子表，以及，将所述定位因子串映射到该全要素动态因子表中；

所述客户端获取用户按照第一定位规则输入的动态图形密码，并将所述动态图形密码发送给所述认证服务器；

所述认证服务器接收来自所述客户端的动态图形密码，如果解析出的所述动态图形密码所对应的所述第一定位规则与预设定位规则一致，则认证成功；

其中，所述生成信息还包括内表的变化方式，所述变化方式包括：顺时针变化、逆时针变化或随机变化；

所述将定位因子串映射到该全要素动态因子表中包括：保持外表形状结构不变，将内表按照所述顺时针变化、逆时针变化或随机变化的方式将所述定位因子串映射到所述全要素动态因子表中；

所述认证服务器接收来自所述客户端的动态图形密码，如果解析出的所述动态图形密码所对应的所述第一定位规则与预设定位规则一致，则认证成功，包括：

在所述内表发生顺时针变化、逆时针变化或随机变化的情况下，所述认证服务器接收所述客户端根据背景色提示或背景标识提示输入的动态图形密码，所述背景色提示或所述背景标识提示用于指示内表的变化方式，如果解析出的所述动态图形密码所对应的各内表的第一定位规则与预设定位规则一致，则认证成功，所述预设定位规则为所述内表发生变化之前通过客户端设置的。

2.根据权利要求1所述的方法，其特征在于，所述第一定位规则包括连续的定位因子组合，非连续的定位因子组合，同一位置的定位因子的重复组合、以及固定字符组合中的一种或者多种任意组合。

3.根据权利要求1所述的方法，其特征在于，所述认证请求包括用户ID，通过所述用户ID确定该用户对应的全要素动态因子表的结构。

4.根据权利要求1所述的方法，其特征在于，所述内表的变化方式由所述认证服务器按照预设算法确定。

5.根据权利要求1所述的方法，其特征在于，所述生成信息发送给客户端包括：

认证服务器将所述生成信息以字符的形式，或者，图片的形式发送给客户端。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：客户端获取当前用户的用户名，并且，客户端将所述动态图形密码作为所述当前的用户名。

7.一次性动态定位认证系统，包括为用户提供认证的认证服务器、为用户提供网络登录访问的客户端，和定位因子库，其特征在于：

所述认证服务器包括：用于接收来自客户端信息的第一接收单元，向客户端发送信息的第一发送单元，以及与所述第一接收单元和所述第一发送单元相连接的定位因子串生成单元、定位规则解析单元和密码判断单元；

其中，所述定位因子串生成单元，用于根据在定位因子库中选择的定位因子，生成定位因子串；所述第一发送单元，用于将包含有所述定位因子串和全要素动态因子表结构的生成信息发送给客户端；定位规则解析单元，用于接收用户按照第一定位规则输入的动态图形密码，并解析出该动态图形密码所对应的第一定位规则；

所述全要素动态因子表的结构包括外表形状结构和内表形状结构，所述生成信息还包括内表的变化方式，所述变化方式包括：顺时针变化、逆时针变化或随机变化；

密码判断单元，用于判断所述第一定位规则与预设定位规则是否一致，以及将判断结果通过所述第一发送单元发送给客户端；

所述客户端包括：用于接收来自认证服务器信息的第二接收单元，向所述认证服务器发送信息的第二发送单元，以及与所述第二接收单元和所述第二发送单元相连接的全要素动态因子表显示单元、动态图形密码生成单元，其中，

所述全要素动态因子表显示单元，用于将所述定位因子串映射到所述全要素动态因子表中；

所述动态图形密码生成单元，用于根据用户按照第一定位规则在所述全要素动态因子表中的输入生成动态图形密码，以及，通过所述第二发送单元将所述动态图形密码发送给认证服务器；

其中，所述客户端，还用于保持外表形状结构不变，将内表按照所述顺时针变化、逆时针变化或随机变化的方式将所述定位因子串映射到所述全要素动态因子表中；

所述密码判断单元，具体用于在所述内表发生顺时针变化、逆时针变化或随机变化的情况下，接收所述客户端根据背景色提示或背景标识提示输入的动态图形密码，所述背景色提示或所述背景标识提示用于指示内表的变化方式，判断如果解析出的所述动态图形密码所对应的各内表的第一定位规则与预设定位规则一致，则认证成功，所述预设定位规则为所述内表发生变化之前通过客户端设置的。

8.根据权利要求7所述的系统，其特征在于，所述系统还包括：与所述认证服务器相连接的负载均衡器，所述负载均衡器用于判断接收的认证请求载荷是否大于设定的载荷阈值，如果大于，将最后一次接收的认证请求分配到其它认证服务器。

9.一次性动态密码变更方法，其特征在于，所述方法包括：

认证服务器获取来自客户端的密码变更请求；

根据全要素动态因子表生成两组定位因子串，并将所述两组定位因子串一次性地发送给客户端；

客户端接收所述两组定位因子串，分别将这两组定位因子串映射到全要素动态因子表中，以及分别获取用户在第一组全要素动态因子表中，根据第一定位规则输入的第一动态图形密码，和用户在第二组全要素动态因子表中，根据第二定位规则输入的第二动态图形密码，并且将所述第一动态图形密码和所述第二动态图形密码发送给认证服务器；

认证服务器接收来自客户端的两组动态图形密码，如果解析出的两组动态图形密码所对应的第一定位规则与第二定位规则相同，则将所述第一定位规则或者第二定位规则作为新的动态图形密码，密码变更成功；否则，密码变更失败；

客户端接收所述认证服务器发送的密码变更成功或者失败的结果。

10.根据权利要求9所述的方法，其特征在于，认证服务器获取变更前的密码，以及第一动态图形密码和第二动态图形密码包括：

认证服务器先获取来自客户端的变更前密码，如果该变更前的密码与预设密码相同，再获取第一动态图形密码和第二动态图形密码；或者，

认证服务器同时获取来自客户端的变更前密码、第一动态图形密码和第二动态图形密码。